Одним из самых значимых правовых событий этой осенью стало вступление в силу с 1 сентября 2022 года новых правил обработки персональных данных.

Нововведения касаются всего порядка работы с персональными данными (далее — ПД), от порядка оформления согласий на обработку ПД и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков.

Реакция бизнеса на новые правила колеблется от «все пропало, пора закрываться» до «нас это не касается, делать ничего не будем». Но истина, как всегда, посередине. Давайте разбираться.

За нарушение новых требований предпринимателям грозят не только крупные административные штрафы (от десятков и сотен тысяч рублей до 6 миллионов с организаций), но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Непосредственно с руководителя организации могут взыскать до 500 000 руб., с должностного лица – до 100 000 руб.

Изменения касаются абсолютно всех видов бизнеса вне зависимости от объемов и видов деятельности. Бывшие ранее рекомендательными положения Закона 152-ФЗ стали теперь обязательными.

Если говорить о работодателях, то они обязаны:

· назначить ответственное лицо (структурное подразделение) за обработку ПД;

· издать и опубликовать политику по ПД;

· осуществлять внутренний контроль (аудит) за работой с ПД. Способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте (ЛНА).

· оценивать вред, который может быть нанесен субъекту ПД (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

· издать и соблюдать ЛНА относительно обеспечения безопасного хранения ПД.

С 01 сентября 2022 года при работе с ПД нужно подать в Роскомнадзор уведомление, чтобы попасть в реестр операторов ПД.

Также, введены дополнительные, более строгие требования к содержанию согласия на обработку ПД. Каждое согласие в обязательном порядке должно включать в себя:

· цель обработки персональных данных;

· перечень ПД, на обработку которых дается согласие их субъекта;

· наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

· перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

· срок, в течение которого действует согласие субъекта ПД и способы его отзыва.

Установлены также более жесткие требования к обращению с биометрическими ПД, порядок трансграничной передачи ПД, правила поручения обработки ПД третьим лицам, правила прекращения обработки ПД, введены новые сроки ответов на обращения субъектов ПД.

Для бизнесов, работающих с ПД своих контрагентов (покупателей, заказчиков, клиентов, поставщиков и т.п.), введены дополнительные требования относительно получения согласия на обработку ПД и ознакомления с политикой обращения с ПД,

По имеющейся информации планируется принятие законопроекта, ужесточающего уже имеющиеся размеры санкций за несоблюдение правил обработки ПД. В частности, предполагается введение т.н. «оборотных штрафов» в размере 1,5 -3 % годового оборота компании или ИП.

Вместе с этим, Роскомнадзор, по крайней мере пока, занимает достаточно миролюбивую позицию, всячески подчеркивая, что не планирует повальное «закошмаривание» бизнеса. Да и мораторий на проверки продолжает действовать.

Следовательно, поводов впадать в панику нет никаких. Просто нужно уделить этой проблеме некоторое время и обратить серьезное внимание на необходимость упорядочения работы с ПД, в первую очередь, предпринять ряд достаточно простых, но необходимых действий для минимизации рисков финансовых потерь от штрафных санкций, а именно:

— провести обучение работников, так или иначе задействованных в обработке и/или передаче ПД;

— назначить ответственных лиц в организации за работу с ПД;

— проанализировать фактические категории, виды, цели обработки ПД

— пересмотреть (при необходимости – разработать и ввести в действие) локальные нормативные акты, регламентирующие обращение с ПД в организации;

— обеспечить наличие возможности ознакомления с Политикой по обработке ПД на каждой станице своего сайта (если таковой имеется), с которой производится сбор ПД;

Все вышеназванное желательно осуществить ДО отправки уведомления в Роскомнадзор, хотя сроки такого уведомления фактически уже наступили. Однако, спешка тут не лучшее решение. Например, если в уведомлении, поданном в Роскомнадзор, цели обработки ПД будут указаны не все, а фактически обработка ПД будет вестись в других целях, организация может быть оштрафована на сумму до 300 тысяч руб. по ст. 13.11 КлАП РФ.

Вместе с этим и обработка ПД без уведомления Роскомнадзора грозит достаточно серьезными проблемами.

Таким образом, оставлять данную тему без внимания предпринимателям нельзя. Для соблюдения новых требований закона потребуются некоторые затраты, но, в основном, только организационные и временные. Как альтернатива – понимать угрозу рисков достаточно крупных штрафов.